ワークロードのリソース使用量を制限する
このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによって、サポートされているプロダクトが決定され、それによって使用できるリソースが決まります。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage
組織のポリシーの制約によって強制適用されます。
準備
必要な IAM のロール
リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management(IAM)権限を付与する必要があります。
ターゲット ワークロードに対して、次の権限が必要です。
assuredworkloads.workload.update
orgpolicy.policy.set
これらの権限は、次の 2 個のロールに含まれています。
- Assured Workloads 管理者(
roles/assuredworkloads.admin
) - Assured Workloads 編集者(
roles/assuredworkloads.editor
)
Assured Workloads のロールの詳細については、IAM ロールをご覧ください。
リソース使用量の制限を有効にする
ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージでサポートされているサービスに従って、Assured Workloads フォルダに制限を適用します。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自の値に置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
)。環境に Google Cloud SDK がインストールされていて認証されている場合は、
gcloud auth print-access-token
コマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: 目的のサービス エンドポイント(例:
https://us-central1-assuredworkloads.googleapis.com
)。ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311
)。WORKLOAD_LOCATION: ワークロードのロケーション(例:
us-central1
)WORKLOAD_ID: ワークロードの一意の識別子(例:
00-c25febb1-f3c1-4f19-8965-a25
)。
プレースホルダ値を置き換えると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
リソース使用量の制限を無効にする
ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。このコマンドは、Assured Workloads フォルダに対するサービスとリソースの制限をすべて削除します。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自の値に置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
)。環境に Google Cloud SDK がインストールされていて認証されている場合は、
gcloud auth print-access-token
コマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: 目的のサービス エンドポイント(例:
https://us-central1-assuredworkloads.googleapis.com
)。ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311
)。WORKLOAD_LOCATION: ワークロードのロケーション(例:
us-central1
)WORKLOAD_ID: ワークロードの一意の識別子(例:
00-c25febb1-f3c1-4f19-8965-a25
)。
プレースホルダ値を置き換えると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
サポートされているプロダクトとサポートされていないプロダクト
このセクションの表に、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトを示します。デフォルトのリソース使用制限を有効にすると、サポートされているプロダクトのみを使用できます。リソース使用量の制限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。
FedRAMP Moderate
エンドポイント | サポート対象プロダクト | サポートされていない製品 |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform トレーニング API と予測 API |
FedRAMP High
エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
刑事司法情報サービス(CJIS)
エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
影響レベル 4(IL4)
エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
米国リージョンとサポート
エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Service エンドポイント
このセクションでは、リソース使用量の制限を有効にした後でもブロックされない API エンドポイントについて説明します。
API 名 | エンドポイント URL |
---|---|
Cloud Asset API | cloudasset.googleapis.com |
Cloud Logging API | logging.googleapis.com |
Service Control | servicecontrol.googleapis.com |
Cloud Monitoring API | monitoring.googleapis.com |
Google Cloud Observability | stackdriver.googleapis.com |
Security Token Service API | sts.googleapis.com |
Identity and Access Management API | iam.googleapis.com |
Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
Advisory Notifications API | advisorynotifications.googleapis.com |
IAM Service Account Credentials API | iamcredentials.googleapis.com |
組織のポリシー サービスの API | orgpolicy.googleapis.com |
Policy Troubleshooter API | policytroubleshooter.googleapis.com |
Network Telemetry API | networktelemetry.googleapis.com |
Service Usage API | serviceusage.googleapis.com |
Service Networking API | servicenetworking.googleapis.com |
Cloud Billing API | cloudbilling.googleapis.com |
Service Management API | servicemanagement.googleapis.com |
Identity Toolkit API | identitytoolkit.googleapis.com |
Access Context Manager API | accesscontextmanager.googleapis.com |
Service Consumer Management API | serviceconsumermanagement.googleapis.com |
次のステップ
- リソース使用量の制限をサポートしていないサービスのリストを確認する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。